Журнал "Information Security/ Информационная безопасность" #5, 2020

l типы зашифрованных файлов; l под какой учетной записью произво- дилось шифрование файлов (системная, пользовательская, сервисная). Для помощи в анализе типа ВПО могут помочь специализированные сер- висы, например id-ransomware.malware- hunterteam.com . После выявления типа вредоносного ПО необходимо собрать по нему все возможные технические признаки ком- прометации (имена процессов, устанав- ливаемые сетевые соединения, названия и хеши файлов, учетные записи, адреса почты, с которых производилась рас- сылка писем, и т.д.). Данную информа- цию можно получить либо из описания шифровальщика, либо при более глубо- ком анализе его образца. Можно отпра- вить образец для анализа в VirusTotal ( www.virustotal.com), в HybridAnalysis (www.hybrid-analysis.com) либо в анти- вирусную лабораторию, с которой сотрудничает ваша организация. В процессе анализа следует также определить векторы заражения и "нуле- вого пациента" для того, чтобы опера- тивно ограничить дальнейшее распро- странение шифровальщика. Основными векторами распространения могут быть: l эксплуатация уязвимостей по сети (аналогично сетевым червям и вирусам); l протоколы удаленного доступа (RDP и другие); l вложения в электронной почте; l заражение через файлы и документы (внешние устройства, сетевые папки); l распространение в качестве дополни- тельной нагрузки к другому вредонос- ному ПО, например через загрузчики. Распространение вымогателей-шиф- ровальщиков в основном происходит автоматически, но бывают и ситуации полуручного шифрования данных и последующего вымогательства, когда злоумышленник осуществляет проник- новение в сеть и запускает соответ- ствующую программу для шифрования вручную. Дальше необходимо определить гра- ницы заражения, для этого можно использовать сетевые средства защиты, антивирусные средства или средства мониторинга серверов и рабочих стан- ций, чтобы определить, на каких узлах были обнаружены признаки компроме- тации. На межсетевых экранах, в DNS и про- кси-серверах можно посмотреть, кто обращался к командным центрам вре- доносного ПО или осуществлял попытку массового заражения внутри сети. В этом случае очень полезными бывают системы класса SIEM, которые позво- ляют быстро проанализировать большой объем событий и сформировать правила мониторинга и выявления новых зара- женных узлов. На рабочих станциях и серверах нужно использовать антивирусные средства. Большая часть современных решений позволяет достаточно оперативно добав- лять правила поиска процессов и хешей запускаемых исполняемых файлов по заданным параметрам. Необходимо также выяснить, какие данные пострадали от заражения – поль- зовательские, данные в СУБД, конфи- гурационные файлы в технологических системах. Для этого можно проанализи- ровать события массовых изменений файлов на узлах или в сетевых папках одним процессом или одной группой учетных записей с использованием спе- циальных утилит для работы с метадан- ными файлов или механизмов контроля целостности операционных систем. Для того чтобы владельцы бизнеса могли принять решение о дальнейших действиях, необходимо определить сте- пень влияния заражения на бизнес-про- цессы и данные. Сдерживание и предотвращение дальнейшего заражения Действия по сдерживанию заражения важно начинать параллельно с рассле- дованием, чтобы снизить возможные последствия. Однако стоит иметь в виду, что неправильный порядок действий может усугубить ситуацию. Поэтому желательно иметь готовый план дей- ствий для всех сотрудников организации в случае массового заражения инфра- структуры. Ближайшая аналогия – тести- рование пожарной сигнализации в биз- нес-центре, когда все сотрудники знают, что им делать и куда бежать. Все задачи, связанные с ограничением распространения вредоносного ПО, должны обрабатываться в режиме мак- симальной приоритизации, так как имен- но эта часть работ позволяет снизить количество ресурсов и потери при вос- становлении данных и работоспособно- сти инфраструктуры. Основным механизмом защиты в дан- ном случае является изоляция зараженных систем и пользователей от основной части критичных систем и инфраструктуры. Зачистка и восстановление инфраструктуры Перед проведением операций по вос- становлению инфраструктуры необхо- димо убедиться, что дальнейшее рас- пространение вредоносного ПО невоз- можно. Для данного этапа важно заранее удо- стовериться, что в организации суще- ствуют эффективные механизмы вос- становления данных, разворачивания серверов и рабочих станций, копий кон- фигурационных файлов и задокументи- рованные настройки бизнес-систем. Для эффективного восстановления работоспособности организации также нужно проверить, насколько сотрудники знают, где находятся правильные резерв- ные копии, умеют их правильно восста- навливать и обладают всеми необходи- мыми знаниями и инструментами для восстановления. При восстановлении данных и систем из резервных копий стоит убедиться, что они не заражены. В случае, когда восстановление дан- ных из резервных копий по ряду причин невозможно, можно попробовать вос- становить работу системы другими спо- собами: l провести поиск специализированных утилит, декрипторов; l провести анализ ВПО в антивирусной лаборатории, возможно специалисты смо- гут написать программу для восстанов- ления специально для этого вымогателя; l в исключительных случаях заплатить вымогателям за критичные данные; однако стоит учитывать, что это не гарантирует результата, по ряду причин: злоумышленник уже не контролирует конкретный экземпляр вымогателя, шифрование могло произойти с ошиб- ками и в итоге даже при получении ключа восстановление может быть невозможно или злоумышленник даже при получении денег может повысить цену на восстановление информации. Итоги Что можно сделать, чтобы предотвра- тить или снизить риски заражения шиф- ровальщиком, уменьшить время на реа- гирование и восстановление работы организации после заражения? 1. Проводить регулярное резервное копирование пользовательских данных и данных критичных бизнес-систем с хра- нением на внешнем носителе или мак- симально изолированном от инфраструк- туры сервере или СХД. 2. Сформировать перечень ответствен- ных за эксплуатацию инфраструктуры и средств защиты. 3. Разработать и протестировать инструкции по оперативному выявлению, идентификации и предотвращению рас- пространения вредоносного ПО. 4. Сформировать инструкции и прове- сти обучение специалистов технической поддержки для оперативного сбора информации по заражению. 5. Провести обучение пользователей (инструкция/видеоролики/курсы повы- шения грамотности в области информа- ционной безопасности). 6. Регулярно устанавливать критичные обновления безопасности на рабочие станции и серверы. 7. Использовать антивирусное ПО, которое может предотвратить заражение от типового вредоноса. 8. Организовать взаимодействие с антивирусными лабораториями и ком- паниями, занимающимися расследова- нием инцидентов. 9. Провести учения, имитировав зара- жение шифровальщиком на одном из узлов в сети организации. l • 29 SOC www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Н а правах рекламы